Investigación de WatchGuard revela que las soluciones anti-malware tradicionales pasan por alto casi el 75% de las amenazas

164

WatchGuard Technologies publicó su Informe de seguridad de Internet para el primer trimestre de 2021. Hallazgos notables incluyen que el 74% de las amenazas detectadas en el último trimestre fueron malware de día cero, o aquellas para las que una solución antivirus basada en firmas no lo detectó en el momento del lanzamiento del malware, capaces de eludir las soluciones antivirus convencionales.

El informe también cubre nueva inteligencia de amenazas sobre el aumento de las tasas de ataques a la red, cómo los atacantes están tratando de disfrazar y reutilizar exploits antiguos, los principales ataques de malware del trimestre y más.

“El trimestre pasado se registró el nivel más alto de detecciones de malware de día cero que jamás hayamos registrado. Las tasas de malware evasivo en realidad han eclipsado a las de las amenazas tradicionales, lo que es una señal más de que las organizaciones necesitan desarrollar sus defensas para adelantarse a los actores de amenazas cada vez más sofisticados”, dijo Corey Nachreiner, Director de Seguridad de WatchGuard. “Las soluciones anti-malware tradicionales por sí solas son simplemente insuficientes para el entorno de amenazas actual. Toda organización necesita una estrategia de seguridad proactiva por capas que involucre aprendizaje automático y análisis de comportamiento para detectar y bloquear amenazas nuevas y avanzadas».

Otros hallazgos clave del Informe de Seguridad de Internet del Primer Trimestre de 2021 de WatchGuard incluyen:

 

  • La variante de malware sin archivos explota en popularidad: XML.JSLoader es una carga útil maliciosa que apareció por primera vez en las listas de malware más importantes de WatchGuard por volumen y en las listas de detecciones de malware más extendidas. También fue la variante que WatchGuard detectó con mayor frecuencia a través de la inspección HTTPS en el primer trimestre. El WatchGuard de muestra identificado usa un ataque de entidad externa XML (XXE) para abrir un shell para ejecutar comandos para eludir la política de ejecución local de PowerShell y se ejecuta de una manera no interactiva, oculta al usuario o víctima real. Este es otro ejemplo de la creciente prevalencia del malware sin archivos y la necesidad de capacidades avanzadas de detección y respuesta de endpoints.

 

  • El truco simple del nombre de archivo ayuda a los piratas informáticos a hacer pasar el cargador de ransomware como archivos adjuntos legítimos de PDF: el cargador de ransomware Zmutzy surgió como una de las dos principales variantes de malware cifrado por volumen en el primer trimestre. Asociado específicamente con el ransomware Nibiru, las víctimas encuentran esta amenaza como un archivo comprimido adjunto a un correo electrónico o una descarga de un sitio web malicioso. Al ejecutar el archivo zip, se descarga un ejecutable, que para la víctima parece ser un PDF legítimo. Los atacantes utilizaron una coma en lugar de un punto en el nombre del archivo y un icono ajustado manualmente para pasar el archivo zip malicioso como PDF. Este tipo de ataque resalta la importancia de la educación y capacitación sobre phishing, así como la implementación de soluciones de respaldo en caso de que una variante como esta desate una infección de ransomware.

 

  • Los actores de amenazas continúan atacando los dispositivos de IoT: si bien no se incluyó en la lista de los 10 principales programas maliciosos de WatchGuard para el primer trimestre, los adversarios han utilizado recientemente la variante Linux.Ngioweb.B para atacar dispositivos de IoT. La primera versión de este ejemplo estaba dirigida a servidores Linux que ejecutaban WordPress, llegando inicialmente como un archivo de lenguaje de formato extendido (EFL). Otra versión de este malware convierte los dispositivos IoT en una botnet con servidores de comando y control rotativos.

 

  • Vuelve una vieja técnica de ataque transversal de directorio: WatchGuard detectó una nueva firma de amenaza en el primer trimestre que implica un ataque transversal de directorio a través de archivos gabinete (CAB), un formato de archivo diseñado por Microsoft destinado a la compresión de datos sin pérdidas y certificados digitales integrados. Una nueva adición a la lista de los 10 principales ataques de red de WatchGuard, este exploit engaña a los usuarios para que abran un archivo CAB malicioso usando técnicas convencionales o falsificando una impresora conectada a la red para engañar a los usuarios para que instalen un controlador de impresora a través de un archivo CAB comprometido.

 

  • Los cero días de HAFNIUM brindan lecciones sobre tácticas de amenazas y mejores prácticas de respuesta: el último trimestre, Microsoft informó que los adversarios utilizaron las cuatro vulnerabilidades de HAFNIUM en varias versiones de Exchange Server para obtener una ejecución remota de código del sistema completo y no autenticado y acceso arbitrario de escritura de archivos a cualquier servidor expuesto sin parche a Internet, como la mayoría de los servidores de correo electrónico. El análisis de incidentes de WatchGuard se sumerge en las vulnerabilidades y destaca la importancia de la inspección HTTPS, el parcheo oportuno y el reemplazo de sistemas heredados.

 

  • Los atacantes incorporan dominios legítimos en campañas de criptominería: en el primer trimestre, el servicio DNSWatch de WatchGuard bloqueó varios dominios comprometidos y claramente maliciosos asociados con amenazas de criptominería. El malware Cryptominer se ha vuelto cada vez más popular debido a los recientes picos de precios en el mercado de las criptomonedas y la facilidad con la que los actores de amenazas pueden desviar recursos de víctimas desprevenidas.

 

Los informes de investigación trimestrales de WatchGuard se basan en datos anónimos de Firebox Feed de WatchGuard Fireboxes activos cuyos propietarios han optado por compartir datos para respaldar los esfuerzos de investigación del Threat Lab.

En el primer trimestre, WatchGuard bloqueó un total de más de 17.2 millones de variantes de malware (461 por dispositivo) y casi 4.2 millones de amenazas de red (113 por dispositivo).

El informe completo incluye detalles sobre el malware adicional y las tendencias de la red del primer trimestre de 2021, un análisis detallado de las vulnerabilidades de HAFNIUM Microsoft Exchange Server, consejos de defensa críticos para los lectores y más.

Autor